Microsoft baru-baru ini mengonfirmasi adanya celah keamanan serius pada asisten kecerdasan buatan (AI) mereka, Microsoft 365 Copilot. Bug tersebut dilaporkan mampu melewati kebijakan Data Loss Prevention (DLP) organisasi, yang secara teoritis memungkinkan AI untuk mengakses dan merangkum email berlabel rahasia tanpa izin pengguna.
Kronologi dan Detail Teknis Bug CW1226324
Insiden ini pertama kali diungkap oleh Bleeping Computer dan dilacak secara internal oleh Microsoft dengan kode CW1226324. Masalah ini terdeteksi pertama kali pada 21 Januari 2026, berdampak spesifik pada fitur Copilot Chat di dalam ekosistem Microsoft 365 yang digunakan oleh pelanggan Enterprise.
Berdasarkan dokumentasi teknis, bug ini menyebabkan Copilot Chat secara keliru menarik data dari folder Sent Items dan Drafts. Hal yang paling mengkhawatirkan adalah sistem tetap memproses informasi tersebut meskipun email telah diberi label sensitivitas tinggi yang seharusnya memblokir akses otomatis oleh asisten AI.
Kegagalan Protokol Data Loss Prevention (DLP)
DLP merupakan fondasi keamanan bagi perusahaan skala besar untuk mencegah kebocoran informasi sensitif. Dalam kasus ini, integrasi AI yang terlalu dalam justru menjadi titik lemah. Berikut adalah beberapa poin utama terkait dampak bug tersebut:
- Bypass Kebijakan Keamanan: Copilot mengabaikan instruksi enkripsi dan label kerahasiaan yang telah ditetapkan admin IT.
- Paparan Data Draft: Email yang belum dikirim (draft) seringkali mengandung informasi mentah yang sangat sensitif dan belum terenkripsi sempurna.
- Risiko Prompt Injection: Celah ini membuka potensi manipulasi AI untuk membocorkan data melalui perintah teks tertentu oleh pengguna yang tidak berwenang.
Langkah Mitigasi dan Respons Microsoft
Microsoft menyatakan bahwa insiden ini murni disebabkan oleh kesalahan kode (coding error). Perusahaan mengklaim telah mulai menggulirkan patch perbaikan sejak awal Februari 2026 dan terus memantau implementasinya di tingkat penyewa (tenant) Enterprise untuk memastikan tidak ada data yang disalahgunakan lebih lanjut.
| Detail Insiden | Keterangan |
|---|---|
| Kode Bug | CW1226324 |
| Fitur Terdampak | Copilot Chat (Work Tab) |
| Sumber Data | Sent Items & Drafts |
| Status Perbaikan | Tersedia (Februari 2026) |
Meskipun perbaikan telah dirilis, insiden ini menggarisbawahi tantangan besar dalam mengintegrasikan Generative AI ke dalam alur kerja profesional. Keamanan data bukan lagi sekadar masalah akses manusia, melainkan bagaimana memastikan model bahasa besar (LLM) mematuhi batasan etika dan teknis yang ketat dalam lingkungan korporasi yang sangat teregulasi.